En artigos anteriores, familiarizámonos un pouco coa pila de alces e configuramos o ficheiro de configuración de Logstash para o analizador de rexistros. Neste artigo, pasaremos ao máis importante desde o punto de vista analítico, o que queres ver desde o sistema e para que foi creado todo: estes son gráficos e táboas combinadas cadros de mando. Hoxe veremos máis de cerca o sistema de visualización kibana, veremos como crear gráficos e táboas e, como resultado, crearemos un panel sinxelo baseado nos rexistros do firewall de Check Point.
O primeiro paso para traballar con kibana é crear patrón de índice, loxicamente, trátase dunha base de índices unidos segundo un determinado principio. Por suposto, esta é puramente unha configuración para facer que Kibana busque información de xeito máis cómodo en todos os índices ao mesmo tempo. Establécese facendo coincidir unha cadea, diga "checkpoint-*" e o nome do índice. Por exemplo, "checkpoint-2019.12.05" encaixaría no patrón, pero simplemente "checkpoint" xa non existe. Cabe mencionar por separado que na busca é imposible buscar información sobre diferentes patróns de índice ao mesmo tempo; un pouco máis adiante en artigos posteriores veremos que as solicitudes de API fanse ben polo nome do índice, ou só por un. liña do patrón, pódese facer clic na imaxe:
Despois diso, comprobamos no menú Descubrir que todos os rexistros están indexados e está configurado o analizador correcto. Se se atopa algunha inconsistencia, por exemplo, ao cambiar o tipo de datos dunha cadea a un número enteiro, cómpre editar o ficheiro de configuración de Logstash, polo que se escribirán novos rexistros correctamente. Para que os rexistros antigos tomen a forma desexada antes do cambio, só axuda o proceso de reindexación; en artigos posteriores comentarase esta operación con máis detalle. Asegurémonos de que todo estea en orde, na imaxe pódese facer clic:
Os rexistros están no lugar, o que significa que podemos comezar a construír paneis. A partir da análise dos paneis de produtos de seguridade, pode comprender o estado da seguridade da información nunha organización, ver claramente as vulnerabilidades da política actual e, posteriormente, desenvolver formas de eliminalas. Imos construír un pequeno panel usando varias ferramentas de visualización. O panel constará de 5 compoñentes:
- táboa para calcular o número total de troncos por láminas
- táboa de firmas IPS críticas
- gráfico circular para eventos de prevención de ameazas
- gráfico dos sitios visitados máis populares
- gráfico sobre o uso das aplicacións máis perigosas
Para crear figuras de visualización, cómpre ir ao menú Visualizar, e selecciona a figura desexada que queremos construír! Imos en orde.
Táboa para calcular o número total de troncos por lámina
Para iso, seleccione unha figura Táboa de datos, caemos no equipo para a creación de gráficos, á esquerda está a configuración da figura, á dereita é como quedará na configuración actual. En primeiro lugar, demostrarei como será a táboa rematada, despois pasaremos pola configuración, pódese facer clic na imaxe:
Configuración máis detallada da figura, pódese facer clic na imaxe:
Vexamos a configuración.
Configurado inicialmente métricas, este é o valor polo que se agregarán todos os campos. As métricas calcúlanse en función dos valores extraídos dun xeito ou doutro dos documentos. Os valores adoitan extraerse de campos documento, pero tamén se pode xerar mediante scripts. Neste caso poñemos Agregación: Contar (número total de rexistros).
Despois diso, dividimos a táboa en segmentos (campos) polos que se calculará a métrica. Esta función realízaa a configuración de baldes, que á súa vez consta de dúas opcións de configuración:
- dividir filas: engade columnas e, posteriormente, divide a táboa en filas
- táboa dividida - división en varias táboas en función dos valores dun campo específico.
В baldes pode engadir varias divisións para crear varias columnas ou táboas, as restricións aquí son bastante lóxicas. Na agregación, pode escoller que método se utilizará para dividir en segmentos: intervalo ipv4, intervalo de datas, termos, etc. A opción máis interesante é precisamente Condicións и Termos significativos, a división en segmentos realízase segundo os valores dun campo de índice específico, a diferenza entre eles reside no número de valores devoltos e na súa visualización. Como queremos dividir a táboa polo nome das láminas, seleccionamos o campo - produto.palabra clave e establece o tamaño en 25 valores devoltos.
En lugar de cadeas, elasticsearch usa 2 tipos de datos: texto и tag. Se queres realizar unha busca de texto completo, debes usar o tipo de texto, cousa moi cómoda ao escribir o teu servizo de busca, por exemplo, buscar a mención dunha palabra nun valor de campo específico (texto). Se só quere unha coincidencia exacta, debe usar o tipo de palabra clave. Ademais, o tipo de datos da palabra clave debe utilizarse para campos que requiren ordenación ou agregación, é dicir, no noso caso.
Como resultado, Elasticsearch conta o número de rexistros durante un tempo determinado, agregados polo valor no campo do produto. En Etiqueta personalizada, establecemos o nome da columna que se mostrará na táboa, establecemos o tempo durante o que recollemos os rexistros, comezamos a renderizar - Kibana envía unha solicitude a elasticsearch, espera unha resposta e despois visualiza os datos recibidos. A mesa está lista!
Gráfico circular para eventos de prevención de ameazas
De especial interese é a información sobre cantas reaccións hai en porcentaxe descubrir и evitar sobre incidentes de seguridade da información na política de seguridade vixente. Un gráfico circular funciona ben para esta situación. Seleccione en Visualizar - Gráfico de empanadas. Tamén na métrica establecemos a agregación polo número de rexistros. En baldes poñemos Termos => acción.
Todo parece ser correcto, pero o resultado mostra valores para todas as láminas; só hai que filtrar as láminas que funcionan no marco da prevención de ameazas. Polo tanto, definitivamente o configuramos filtrar para buscar información só sobre as láminas responsables dos incidentes de seguridade da información - produto: ("Anti-Bot" OU "Novo antivirus" OU "Protector DDoS" OU "SmartDefense" OU "Emulación de ameazas"). Na imaxe pódese facer clic:
E configuracións máis detalladas, pódese facer clic na imaxe:
Táboa de eventos IPS
A continuación, moi importante desde o punto de vista da seguridade da información é ver e comprobar os eventos na lámina. IPS и Emulación de ameazas, которые non están bloqueados política actual, para posteriormente cambiar a sinatura para impedir ou, se o tráfico é válido, non verifique a sinatura. Creamos a táboa do mesmo xeito que no primeiro exemplo, coa única diferenza de que creamos varias columnas: proteccións.palabra clave, gravidade.palabra clave, produto.palabra clave, orixesicname.palabra clave. Asegúrate de configurar un filtro para buscar información só sobre as láminas responsables dos incidentes de seguridade da información - produto: ("SmartDefense" OU "Emulación de ameazas"). Na imaxe pódese facer clic:
Configuración máis detallada, pódese facer clic na imaxe:
Gráficos dos sitios visitados máis populares
Para iso, crea unha figura - Barra vertical. Tamén usamos a conta (eixe Y) como métrica, e no eixe X usaremos o nome dos sitios visitados como valores: "nome_appi". Aquí hai un pequeno truco: se executas a configuración na versión actual, todos os sitios marcaranse na gráfica coa mesma cor, para facelos multicolores, usamos unha configuración adicional: "serie dividida". o que che permite dividir unha columna preparada en varios valores máis, dependendo do campo seleccionado, por suposto! Esta mesma división pódese usar como unha columna multicolor segundo os valores en modo apilado ou en modo normal para crear varias columnas segundo un determinado valor no eixe X. Neste caso, aquí usamos o o mesmo valor que no eixe X, isto fai posible que todas as columnas sexan multicolores; indicaranse mediante cores na parte superior dereita. No filtro que establecemos - produto: "Filtrado de URL" para ver información só nos sitios visitados, pódese facer clic na imaxe:
Configuración:
Diagrama sobre o uso das aplicacións máis perigosas
Para iso, crea unha figura - Barra vertical. Tamén usamos count (eixe Y) como métrica, e no eixo X usaremos o nome das aplicacións utilizadas: "appi_name" como valores. O máis importante é a configuración do filtro: produto: "Control da aplicación" E risco_aplicación: (4 OU 5 OU 3 ) E acción: "aceptar". Filtramos os rexistros pola lámina de control de aplicacións, tomando só aqueles sitios que se clasifican como sitios de risco crítico, alto e medio e só se se permite o acceso a estes sitios. Na imaxe pódese facer clic:
Configuración, clicable:
Panel de control
A visualización e a creación de paneis están nun elemento de menú separado: panel de control. Aquí todo é sinxelo, créase un novo panel, engádese a visualización, colócase no seu lugar e xa está!
Estamos a crear un panel de control no que podes comprender a situación básica do estado da seguridade da información nunha organización, por suposto, só a nivel de Check Point, a imaxe é clicable:
En base a estes gráficos, podemos entender que sinaturas críticas non están bloqueadas no firewall, onde van os usuarios e cales son as aplicacións máis perigosas que usan.
Conclusión
Analizamos as capacidades de visualización básica en Kibana e construímos un panel de control, pero esta é só unha pequena parte. Máis adiante no curso analizaremos por separado a configuración de mapas, o traballo co sistema elasticsearch, a familiarización coas solicitudes de API, a automatización e moito máis.
Así que estade atentos (, , , ), .
Fonte: www.habr.com